Kamerbrief over kwetsbaarheid app NL Alert en voortgang onderzoek datalek

06-05-2020

Op 30 april heeft de Minister van Justitie en Veiligheid Ferd Grapperhaus de Tweede Kamer geïnformeerd over de melding die zijn ministerie heeft gedaan bij de Autoriteit Persoonsgegevens van een datalek in de app van NL-Alert.(1) Via deze brief informeert de minister de Kamer over een kwetsbaarheid waarover de dag na verzending berichtgeving in de media was. Ook wordt er ingegaan op de voortgang van het onderzoek naar het datalek.

Kwetsbaarheid

In de bijlage bij deze brief is een beschrijving te vinden van de betreffende op 23 april bij het Nationaal Cyber Security Centrum (NCSC) gemelde en op 28 april verholpen kwetsbaarheid. Omdat er mogelijk sprake zou kunnen zijn van een datalek waarvoor een meldingsplicht bestaat is daarover extern juridisch advies ingewonnen. Uit het juridisch advies dat op 24 april jl. is ontvangen, bleek dat dit niet het geval was.

Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek. Gelet op bovenstaande overwegingen en het feit dat de kwetsbaarheid op 28 april is verholpen, is deze niet aan uw Kamer gemeld. Naar aanleiding van berichtgeving in de media op 1 mei jl. over de betreffende kwetsbaarheid is het eerdergenoemde advies voor alle zekerheid voorgelegd aan de Landsadvocaat en deze komt tot dezelfde conclusie.

Omdat de informatiebeveiliging van de app boven elke twijfel verheven moet zijn met het oog op het gebruik door burgers en er zeker van te zijn dat de app geen kwetsbaarheden bevat, heeft mijn ministerie Fox-IT gevraagd als onafhankelijk expert de app door te lichten en mogelijke risico’s in kaart te brengen.

In het licht van het op 30 april gemelde datalek was het duidelijker geweest uw Kamer ook over de kwetsbaarheid te informeren.

Voortgang onderzoek datalek

Inmiddels zijn gebruikers van de app via de website van NL-Alert geïnformeerd over het datalek, waarbij het advies is gegeven de app te verwijderen. Dit advies is nog onverminderd van kracht. Om gebruikers te beschermen die de app niet verwijderd hebben, is sinds 1 mei jl. een update van de app beschikbaar die - na installatie op het toestel van de gebruiker - het datalek naar de externe dienst dicht. Uit cijfers blijkt dat inmiddels het overgrote deel van de gebruikers de app verwijderd of geüpdatet heeft.

Via de Landsadvocaat is de leverancier van de externe dienst meerdere malen gesommeerd medewerking te verlenen aan het dichten van en het onderzoek naar het datalek. Ook heeft de Landsadvocaat deze leverancier gesommeerd de al verzamelde data te vernietigen. Zoals toegezegd in de brief van 30 april zal ik uw Kamer over de uitkomsten van het onderzoek naar aard, omvang en impact van het datalek informeren.

De Minister van Justitie en Veiligheid, Ferd Grapperhaus

Voetnoot

(1) Brief aan de Tweede Kamer ‘Datalek NL-alert’, verzonden op vrijdag 30 april 2020

Bijlage

Toelichting op de aangetroffen kwetsbaarheid
Chronologische schets kwetsbaarheid Het Nationaal Cyber Security Centrum (NCSC) informeert op donderdagochtend 23 april het projectteam, dat verantwoordelijk is voor de ontwikkeling van de NLAlert app, over een kwetsbaarheid in de app. Het projectteam bestaat uit medewerkers van mijn ministerie en een externe technisch adviseur. Naar aanleiding van de melding start het projectteam een onderzoek in samenwerking met de ontwikkelaar van de app. Op basis van deze analyse krijgt de ontwikkelaar in de ochtend van 28 april jl. de opdracht de kwetsbaarheid te verhelpen. Diezelfde dag ontvangt het projectteam het bericht van de ontwikkelaar dat de kwetsbaarheid is verholpen.

Beschrijving van de kwetsbaarheid
Tijdens het installatieproces van de NL-Alert app wordt op het toestel van de gebruiker een unieke token aangemaakt (zie de afbeelding hieronder), waarmee de betreffende installatie kan worden geïdentificeerd. Deze token is zichtbaar om de gebruiker te kunnen identificeren bij een verzoek tot inzage of verzoek tot het verwijderen van de opgeslagen data van de betreffende gebruiker.

De aangetroffen en verholpen kwetsbaarheid maakte het mogelijk dat met deze unieke token via een webadres toegang werd verkregen tot de locatiegegevens van de gebruiker. Het webadres is waarschijnlijk verkregen door te kijken welk internetverkeer er plaatsvindt vanaf de telefoon waar de app op is geïnstalleerd. De token die noodzakelijk is om een opvraging te doen is alleen te verkrijgen door gegevens van het toestel van de gebruiker te bemachtigen. Alhoewel er geen logging plaats heeft gevonden van bevragingen van het betreffende webadres, zijn er geen signalen dat er - naast de melding via het NCSC - gebruik is gemaakt van deze kwetsbaarheid.

Zie ook het nieuwsbericht: Kamerbrief over Datalek app NL-Alert

En het nieuwsbericht: Advies: verwijder aanvullende informatie-app NL-Alert wegens datalek


Dit beleidsstuk is ook te vinden in het dossier Datalek

bron: Rijksoverheid

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Examentraining CIPM / Certified Information Privacy Manager

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer